De diefstal van persoonlijke gegevens van afgestudeerden aan de TU Delft en de Universiteit Utrecht (UU) kan nog een flink staartje krijgen. Beide instellingen zijn niet te spreken over de manier waarop het Amerikaanse softwarebedrijf Blackbaud dit data-veiligheidsincident heeft behandeld.
Ruim een maand nadat de leverancier van crm-systemen voor onderwijsinstellingen wist van een aanval met ransomware, kregen Delft en Utrecht hiervan bericht. Vervolgens duurde het nog eens een maand voordat beide universiteiten te horen kreeg welke bestanden waren gekaapt en wie daarin stonden.
Annelies Waterlander, communicatie-adviseur van de Universiteit Utrecht: ‘We kregen pas vandaag toegang tot deze gegevens.’ Omvang en aard van de hack bleven lang onbekend. En dat terwijl enkele tientallen Amerikaanse, Canadese en Engelse instellingen drie weken geleden al van de hoed en de rand wisten.
Vervolgstappen
De TU Delft en de Universiteit Utrecht gaan hun leverancier hierover aan de tand voelen. Ze willen ook weten waarom er nog verouderde back-ups uit 2017 op de server van Blackbaud stonden. Deze back-up bevatte persoonsgegevens van afgestudeerden zoals naam, geslacht, geboortedatum en loopbaangegevens. In Utrecht raakten ook privégegevens van donateurs en relaties in verkeerde handen. Blackbaud heeft de hackers een onbekend bedrag aan losgeld betaald. De kopieën van de gestolen bestanden zijn vervolgens vernietigd, zo claimt de softwareleverancier. Bankgegevens en inlogdata stonden niet in deze back-ups. Vooralsnog is niet gebleken dat persoonlijke data op zwarte markten of in besloten Telegram-groepen worden verhandeld.
De aanval vond tussen 7 februari en 20 mei plaats. Beide Nederlandse universiteiten hebben het incident gemeld bij de Autoriteit Persoonsgegevens. Ze gaan ook de samenwerking met Blackbaud evalueren. Mogelijk worden ook vervolgstappen tegen het Amerikaanse bedrijf ondernomen. Ook de wijze waarop de universiteiten intern hun crm-database hebben georganiseerd, wordt onder de loep genomen.
Tja, alles geregeld op papier en dan toch, cloud dienst wordt gepowned en als kant ervan heb je dan maar te slikken. Ondanks je afspraken en betalingen voor de afspraken. De les is dat als het er op aan komt, je het risico van een data loss via een cloud leverancier niet kunt afdekken met afspraken en er voor te betalen. Datzelfde geldt voor ‘gold support’ op computer hardware bij bepaalde fabrikanten. Server stuk, jij hebt acuut probleem en het duurt zeker toch een paar uur voordat de support er is en die geven zelfs geen garanties dat die binnen een tijd een oplossing hebben. Vaak kun je dan voor een aantal jaar ‘gold support’ net zo goed een 2e server klaar op de plank hebben liggen… Jammer dat dat soort risicos en kosten analyses de managers bij hun cursusjes niet leren… ze gaan vaak voor de glossy folder of het warme fuzzy gevoel en de illusie dat ze de vinger kunnen wijzen naar een ander… een 2e server betalen da’s dan uitgesloten, maar die ‘gold support’? daar tekenen ze wel zo weer voor… Dus: let op; Cloud, het lijkt zo kosten effectief totdat…
Ik snap dat de communicatie-adviseur van UU de aandacht verlegd maar verouderde back-ups met persoonsgegevens op een server? En de wijze waarop de universiteiten intern hun crm-database hebben georganiseerd wordt onder de loep genomen? Ik wil niet in conclusies springen voordat het onderzoek is afgerond maar zou de verouderde back-up op de server een database dump kunnen zijn?